信息來源：FreeBuf

三星SmartCam是一系列基于云端服務(wù)的安全監(jiān)控?cái)z像頭，最初由Samsung Techwin研發(fā)。三星于2014年將旗下的這一部門出售給了韓華集團(tuán)，并隨后更名為Hanwha Techwin，但目前該司的SmartCam系列產(chǎn)品依舊以“三星”冠名。該系監(jiān)控?cái)z像頭在智能家居產(chǎn)品中頗受歡迎，用戶可通過網(wǎng)絡(luò)攝像頭和手機(jī)應(yīng)用遠(yuǎn)程監(jiān)控家庭安全，亦可作為嬰兒監(jiān)視器使用。

由于過去幾年間該款產(chǎn)品的多種型號(hào)都被爆出過安全漏洞，Hanwha Techwin曾采取措施禁用了Web接口和SSH，只允許用戶通過手機(jī)APP和My SmartCam云服務(wù)來使用這款產(chǎn)品。這次，研究人員又注意到了一個(gè)可以啟用telnet和本地Web接口服務(wù)的方法。該漏洞由Exploiteers（前GTVHacker）首先發(fā)現(xiàn)，黑客可以借此執(zhí)行遠(yuǎn)程命令注入獲得root權(quán)限并完全控制此類設(shè)備。

Exploiteers研究人員在最近對(duì)型號(hào)SNH-1011的SmartCam進(jìn)行測(cè)試時(shí)，注意到了盡管該設(shè)備Web接口已被禁用，但仍留有一個(gè)Web服務(wù)器以及部分與iWatch（一項(xiàng)網(wǎng)絡(luò)攝像監(jiān)控服務(wù)）有關(guān)的PHP腳本。其中一個(gè)腳本允許用戶通過上傳文件的方式更新iWatch，但由于沒有很好地執(zhí)行文件名檢查留下了一個(gè)隱患。攻擊者可以注入shell命令，由root權(quán)限的web服務(wù)器執(zhí)行。

“利用iWatch Install.php的漏洞，攻擊者通過構(gòu)建特定文件名，放在tar命令中傳遞給system()調(diào)用?！毖芯咳藛T在上周六的博客中解釋道，

“由于web服務(wù)器以root權(quán)限運(yùn)行，而文件名由用戶提供，輸入沒有受到檢查，這樣就可以通過注入命令獲得root權(quán)限執(zhí)行遠(yuǎn)程代碼。”

有意思的是，利用該漏洞可以啟用已被禁用的Web接口，而該接口移除至今一直令眾多用戶不滿。重開Web接口雖然使得用戶又能通過本地網(wǎng)絡(luò)監(jiān)控?cái)z像頭畫面而不必使用My SmartCam服務(wù)，但此舉勢(shì)必會(huì)影響到那些本已平息的陳年漏洞。

一直以來，具有漏洞的的IP攝像頭都是黑客打造IoT僵尸網(wǎng)絡(luò)的理想目標(biāo)。在2014年第22屆DEF CON上，Exploiteers的研究人員展示了SmartCam的部分安全漏洞。這些漏洞可引起執(zhí)行任意代碼，更改產(chǎn)品設(shè)置甚至管理員密碼等問題。

第22屆DEF CON上的漏洞演示部分

就在幾個(gè)月前，Pen Test Partners也曾提交過關(guān)于此類產(chǎn)品的一系列安全問題。當(dāng)時(shí)研究者注意到了型號(hào)為SNH-6410BN的IP攝像頭仍留有SSH和Web服務(wù)器，給黑客提供了可能的后門。盡管這一次的漏洞是在SNH-1011中發(fā)現(xiàn)的，研究人員認(rèn)為SmartCam整個(gè)系列的產(chǎn)品都會(huì)受此影響。

目前Exploiteers已經(jīng)發(fā)布了此漏洞的POC（點(diǎn)擊查看）并提供了手動(dòng)修復(fù)指導(dǎo)方案。

本次漏洞的操作實(shí)例